中港網絡安全協會之電信網絡安全委員會關注到面對全球網絡攻擊風險不斷增加,香港特區政府計劃在今年內就網絡安全(關鍵基礎設施)條例草案將制定法律框架,本委員會有以下初步建議:
一)本委員會絕對認同訂立網絡安全法的需要。近年網絡犯罪案件日益增多及情節嚴重,現有的法律條例往往未能有效打擊此類犯罪案件,香港作為國際都會,完備的法律條文及相關行業標準的制定對於有效保護本港的關鍵基礎設施十分必要。加上環顧其他發達國家及鄰近地區亦已經有相關網絡安全法,這更突顯了香港訂立網絡安全法的迫切性及必要性。
二)本委員會期望該網絡安全法條例草案能夠訂立關鍵基礎設施所需滿足網絡安全要求的標準。此舉可供有關機構作出適當準備以達至合理的網絡安全標準,對網絡安全行業的從業員來說亦是一項保障。現行除個別受特殊監管的行業外,香港並沒有要求企業滿足特定的網絡安全標準,造成網絡安全行業的從業員在網絡安全事故發生時承擔不對稱的責任。至於行業標準的制定,本委員會建議參考國內外以及香港個別受特殊監管的行業現行標準,相信這對於業界將來順利達標也有其好處。
三)本委員會期望該網絡安全法條例草案可充分考慮國際和國內的現行標準。香港的網絡安全行業相對傾向跟隨國際標準,無論在人才及技術方面已有一定水平,絕對值得保留及好好運用。隨著國家的科技發展日新月異,網絡安全的技術可與國際頂尖水平相媲美;香港作為國家一份子亦應好好運用高新技術,不應固步自封。本委員會亦相信若能融合中西方技術,將會是香港人才的獨特優勢。
四)至于法律責任問題,本委員會認為應由機構法人負責任,環顧以往一些重大網絡安全事故歸根其實是高級管理人員不認知網絡安全的重要性或忽視網絡安全上的投資。當然網絡安全從業員亦有一定程度上的責任,長遠來說可以成立有法定能力的專業證可機構,從業員需經認可方能成為機構的網絡安全最高負責人(例如CISO),假若證明專業失當將在一段時間之內不能作為網絡安全的最高負責人。
五) 由於香港主要的關鍵基礎設施(包括能源、通訊、交通運輸、金融機構等)的網絡安全具體要求大多由各自的行業主管機構制定並根據該行業所面對的風險程度加以落實,本委員會建議政府在該網絡安全法條例草案的咨詢過程中,加強與不同的行業主管機構的溝通合作,充分了解在網絡安全方面現有的行業監管措施,尤其是在已有相對完善監管的行業方面,避免給關鍵基礎設施運營者造成重複監管或者過高的合規成本。
而中港網絡安全協會之網絡安全評測委員會亦有以下意見 :
一)關於網絡安全的最低標準,本委員會同樣建議需融合境外和國內標準,並同時參考現行行業標準,如香港金融管理局的控制、評級與審計架構(CRAF),期望最終的最低標準能夠同時兼顧必要的安全要求,並減少重復的安全審計工作,以便未來的修改和推廣教育工作。
二)為提高關鍵基礎設施在網絡攻擊防禦方面的能力,建議除加強日常網絡評估和紅藍隊攻擊演練之外,還可提供更多支持及促進香港本地白帽子漏洞檢測服務的發展,定期為關鍵基礎設施或相應機構提供漏洞檢測服務。一方面提升相關機構的安全性並增強安全事件的檢測能力,同時也能有效持續提升本地網絡安全相關人才的能力和意識。